Haku

FINE-79188-W0L1W0

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-79188-W0L1W0 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2026

Miten vastuu pankin tunnistussovelluksella vahvistetuista asiakkaan tililtä tehdystä oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on 7.7.2025 ollut kirjautumassa pankin verkkopalveluun. Verkkoyhteys on vaikuttanut heikolta ja pankin sivut ovat jumiutuneet. Asiakas ei ole alkuun onnistunut vaihtamaan oletuksena olevaa tunnistussovelluksella tehtävää kirjautumista tunnuslukulistan kirjautumiseen, minkä vuoksi hän on kertomansa mukaan kokeillut kirjautumista sovelluksella. Hänellä ei ole kuitenkaan ollut ko. sovellusta laitteessaan eikä hän ole ladannut sovellusta sovelluskaupasta laitteelleen. Asiakas on syöttänyt pankin lähettämän puhelimeensa tulleen sovelluksen käyttöönottoa koskeneen vahvistuskoodin verkkopankiksi luulemalleen sivustolle. Kirjautuminen on hetken päästä onnistunut kuitenkin tunnuslukulistan avulla, ja asiakas on asioinut tämän jälkeen onnistuneesti verkkopankissaan muun muassa maksaen laskun.

Todellisuudessa rikollinen on verkkosivuston kautta saanut haltuunsa asiakkaan pankkitunnustiedot sekä tunnistussovelluksen aktivointikoodin, joilla on ottanut käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen. Rikollinen on saamillaan tiedoilla päässyt tämän jälkeen asiakkaan verkkopankkiin ja avannut siellä tunnistussovelluksen lukituksen. Samalla sovelluksella rikollinen on kirjautunut asiakkaan puhelinoperaattorin sivuille, ja on saanut haltuunsa asiakkaan puhelimen SIM-kortin, jolloin puhelinliittymä on lakannut toimimasta asiakkaan puhelimessa. Rikollinen on kirjautunut asiakkaan verkkopankkiin ja tehnyt oikeudettomia tilisiirtoja asiakkaan tililtä ulkopuolisen henkilön tilille 91 950 euron arvosta. Pankki on saanut palautettua 19 000 euroa asiakkaalle, jolloin vahingoksi on jäänyt 72 950 euroa. Maksut on tehty kello 18.18.06-18.22.45. Pankki on havainnut ne seuraavana päivänä ja ollut asiakkaaseen yhteydessä, jolloin pankkitunnukset on suljettu.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 72 900 euroa.

Asiakas kiistää olleensa törkeän huolimaton. Asiakas on lukenut pankilta klo 6.22.14 ja 6.23.31 tulleet viestit ja tunnistanut viestien mukaisen toiminnan. Asiakas oli tuolloin aktivoimassa pankin tunnistussovellusta tablettiinsa kotonaan. Yleensä asiakas käyttää työpaikan tietokonetta, joten laite oli uusi. Asiakas syötti koodin verkkopankissa, ei millekään verkkosivulle. Asiakas kuvitteli aktivoineensa pankin sovelluksen, kun syötti puhelimeensa tulleen koodin. Asiakas jätti aktivoimansa sovelluksen lukittu tilaan ja ajatteli vapauttaa sen myöhemmin, kun nettiyhteys toimisi paremmin. Jos asiakas olisi epäillyt, että tunnistussovellus on aktivoitu huijarin toimesta, olisi asiakas soittanut pankin sulkupalveluun.

Tapahtumat klo 12.09-18.22 eivät ole asiakkaan tekemiä, eivätkä pankin toimittamat varoitusviestit klo 18.22.27 ja 18.22.45 ole tulleet asiakkaan puhelimeen.

Asiakas teki reklamaation pankille noin kolmen viikon päästä tapahtuneesta. Hänellä oli vaikeuksia muistamisen kanssa. Asiakas ei muistanut pankilta tulleiden viestien tarkkaa sisältöä. Asiakas unohteli asioita. Muistikuvat sekoittuivat päässä ja asiakas muisti asioita väärin. Mahdollisesti tästä syystä pankilla on virheellinen käsitys, että asiakas olisi jättänyt pankin lähettämät viestit huomioimatta ja toiminut törkeän huolimattomasti. Asiakas on ottanut tapahtuneen erittäin raskaasti. Hänellä on ollut vaikeuksia nukkua. Asiakas oli säästänyt varoja turvatakseen vaikeasti kehitysvammaisen lapsellensa hyvän hoidon kuolemansa jälkeen, sillä hänellä ei ole sisaruksia, jotka pitäisivät hänestä huolta.

Asiakas ei ole ollut törkeän huolimaton. Hän on tarkastanut osoitteen ennen kirjautumista ja laskun maksukin on onnistunut. Asiakkaalla ei ole ollut mitään syytä epäillä olleensa valesivulla. Hän ei hallitse pankin termejä – hän ei tiennyt verkkosivun tarkoittavan verkkopankkia. Asiakas ei ole luovuttanut pankkitunnuksiaan ulkopuoliselle, vaan ne on saatu urkkimalla. Asiakas ei vieläkään ymmärrä, miten se on ollut mahdollista.

Verkon toimivuudessa on ollut aikaisemminkin ongelmia. On kohtuutonta edellyttää, että asiakkaan olisi sen perusteella tullut epäillä pankkitunnustensa vaarantuneen. Asiakkaalla ei ole ollut tiedossa, miten huijaustilanteessa tunnuslukusovelluksen asentaminen tapahtumaa ja mitä varoitusmerkkejä tällaisessa tilanteessa tulisi seurata.

Mediassa on puhuttu paljon huijausviesteistä ja -puheluista. Tällaisesta huijausmahdollisuudesta asiakas ei ollut kuullut.

Pankin mukaan asiakkaan vastuulla on ymmärtää, mikä on verkkosivuston ja mobiilisovelluksen ero. Asiakkaalla on aukko sivistyksessä tässä kohtaa. Asiakas ei ole tiennyt, että tunnistussovellus on mobiilisovellus. Painike, jossa on tunnistussovelluksen nimi, ei anna tietoa tästä. Pankki on aikanaan neuvonut kirjautumaan verkkopankkiin tunnuslukukortilla ja puhelimeen tulevalla vahvistusviestillä. Asiakas on aina käyttänyt sitä ja se on toiminut hyvin. Hän ei ole selvittänyt tunnistussovellusta eikä tiedä, miten se toimii. Asiakas oli mielestään aktivoimassa ko. sovellusta syöttäessään pankin lähettämät koodit verkkopankissa.

Asiakas on ottanut kuvia käyttämänsä tabletin sivuhistoriasta 7.7.2025 ja toimittanut ne valituksensa liitteeksi. Pankki myöntää sivuston olevan aito kyseenalaistamalla asiakkaan toimittaman sivuhistorian. Ajankohta olisi ollut helppo tarkistaa vertaamalla tapahtumia tiliotteiden tapahtumiin. Asiakas pitää pankin toimintaa loukkaavana, kun se kyseenalaistaa asiakkaan rehellisyyden.

Pankin vastuulla on tarkastella maksuliikenne, havaita epätavalliset maksut ja pysäyttää ne. Nyt tililtä on siirretty muutaman minuutin sisällä 91 950 euroa ilman, että pankki on ajoissa havainnut asiaa. Pankki on epäonnistunut tässä ja velvollinen korvaamaan vahingon.

Pankin vastine

Pankki kiistää asiakkaan vaatimuksen.

Pankin näkemyksen mukaan pankki ei ole korvausvelvollinen asiakkaan vahingon kattamiseksi, joka on aiheutunut asiakkaan omasta, törkeäksi luokiteltavasta huolimattomuudesta.

Alla pankki esittelee lokitiedoista selvitetyn tapahtumainkulun, sekä perusteet omalle ratkaisulleen tässä asiassa.

Pankin lokitiedot ja tietoturvailmoitukset tapahtumista koskien päivää 7.7.2025:
- klo 6.21.25 on kirjauduttu verkkopankkiin avainlukukortilla
- Klo 06.22.14 asiakkaan numeroon: Tietoturvailmoitus. Olet aktivoimassa [tunnistus] -sovellusta uudessa laitteessa. Aktivointi onnistuu viestin lopussa olevalla koodilla. Koodia käytetään vain [tunnistussovelluksen] aktivointiin. VARO HUIJAUKSIA! Huomaathan että koodia ei tule koskaan syöttää millekään verkkosivulle tai antaa ulkopuoliselle. Jos et ole tekemässä aktivointia itse ota välittömästi yhteyttä [Pankkiin] tai sulkupalveluumme p. xxx xxx. Tarkista viesti-id: FKRFS. Vahvista [tunnistus] -sovelluksen aktivointi koodilla: 518515. [Pankki].
- Klo 06.23.31 asiakkaan numeroon: [Tunnistussovellus] on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta [Tunnistussovellus] kohdasta Oma nimi, Muuta tunnuslukusovelluksen asetuksia. Klikkaa lukittu kohtaan ei ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun XXXXXX.
- Klo 6.23.48 asiakkaalle lähetetty viesti: Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 344336.
- Klo 06.25.59 on ollut Tunnuslukusovelluksen - profiilin lukitseminen/avaus.
- Klo 06.27.08 on ollut kirjautuminen verkkopankkiin avainlukukortilla.
- Klo 06.27.29 Viesti-id 96R2L. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 042103. [Pankki]
- Klo 06.28.31 laadittu oma tilisiirto, summa 1 170,00 euroa.
- Klo 06.30.55 SEPA-maksun perustaminen, summa 45,38 euroa, saaja: XX.
- Klo 06.31.18 Maksun vahvistaminen, summa 45,38 euroa, saaja: XX
- Klo 12.09.05 tunnistautuminen kolmannen osapuolen palveluun tunnuslukusovelluksella, Signicat tunnistusvälitys, DNA Oyj
- Klo 18.01.53 tunnistautuminen kolmannen osapuolen palveluun tunnuslukusovelluksella, Signicat tunnistusvälitys, DNA Oyj
- Klo 18.06.44 tunnistautuminen kolmannen osapuolen palveluun tunnuslukusovelluksella, Signicat tunnistusvälitys, DNA Oyj
- Klo 18.16.51 kirjautuminen verkkopankkiin tunnuslukusovelluksella
- Klo 18.18.06 laadittu oma tilisiirto, summa: 3 057,47 euroa.
- Klo 18.19.39 SEPA-maksun perustaminen, summa: 20 000,00 euroa, saaja: XX
- Klo 18.19.45 SEPA-maksun perustaminen, summa: 20 000,00 euroa, saaja: XX
- Klo 18.19.50 SEPA-maksun perustaminen, summa: 20 000,00 euroa. saaja: XX
- Klo 18.19.55 SEPA-maksun perustaminen, summa: 20 000,00 euroa, saaja: XX
- Klo 18.20.48 SEPA-maksun perustaminen, summa: 11 997,00 euroa, saaja: XX
- Klo 18.21.28 SEPA-maksun poistaminen, summa: 11 997,00 euroa, saaja: XX
- Klo 18.22.01 SEPA-maksun perustaminen, summa: 11 950,00 euroa, saaja: XX
- Klo 18.22.27 +3584XXXXXXXX Viesti-ID LK1YP Olet maksamassa yhtä tai useampaa maksua, mutta tämä vaatii turvallisuutesi vuoksi maksun lisävahvistamista. Jos et ole maksamassa itse, ota välittömästi yhteyttä [Pankkiin] tai pankkitunnusten sulkupalveluun p. XXX XXX. Lisävahvistaminen onnistuu seuraavalla turvaluvulla 997463. [Pankki]
- Klo 18.22.45 Tunnuslukusovellus - maksujen vahvistus, kaikki edellä tehdyt maksut on vahvistettu tässä.

Tunnistussovellus on aktivoitu käyttöön Samsung-merkkiseen puhelimeen asiakkaan verkkopankkitunnuksilla 7.7.2025 klo 6.23.12, jolloin asiakas on saanut puhelimeensa tietoturvailmoituksen pankilta.

Miten tapahtumat huomattiin
Asiakas ei itse huomannut tapahtumia, vaan ne huomattiin pankissa seuraavana päivänä 8.7.2025 päivittäisten listatarkastusten yhteydessä. Pankista soitettiin asiakkaalle välittömästi tapahtumien tullessa ilmi 8.7.2025 ja puhelussa tapahtumat käytiin läpi asiakkaan kanssa. Asiakas kertoi tuolloin pankin toimihenkilölle, että hänen puhelimensa oli mennyt jonkinlaiseen vikatilaan ja oli epäkunnossa. Asiakas on käynyt operaattorinsa liikkeessä ja saanut uuden SIM-kortin ja saanut puhelimensa jälleen toimimaan.

Tapahtumien ilmetessä tehtiin pankissa välittömästi maksuista oikaisupyynnöt, joilla saatiin osa asiakkaan menettämistä rahoista takaisin, 19 000 euroa.

Pankin näkemys tapahtuneesta
Pankin tietojen mukaan asiakkaalle on aktivoitu tunnistussovellus ja sillä mm. kirjauduttu kolmannen osapuolen palveluihin. Puhelinongelmat huomioiden pankki epäilee, että asiakkaalle on onnistuttu aktivoimaan e-SIM-kortti ja sitä on hyödynnetty huijauksessa. Pankilla ei valitettavasti ole näkymää tapahtumiin, jotka ovat tapahtuneet kolmannen osapuolen sivuilla verkkopankkitunnuksilla vahvasti tunnistautuneena. Mikäli huijarit ovat pystyneet aktivoimaan asiakkaan puhelinliittymän e-SIM-kortin omaan puhelimeensa, ovat sen jälkeen pankin lähettämät tietoturvailmoitukset menneet todennäköisesti huijareille.

Tunnistussovelluksen aktivoinnista lähetetyt tietoturvailmoitukset ovat kuitenkin menneet asiakkaan omaan puhelimeen, sillä lokitietojen mukaan kirjautuminen DNA:lle on tapahtunut sovelluksen aktivoinnin jälkeen. Huijarin käytössä ollut tunnistussovellus on mahdollistanut e-SIM-kortin lataamisen heidän käyttöönsä. Lisäksi asiakkaan kertoman mukaan kirjautuessaan verkkopankkiin selaimen kautta, asiakas oli itsekin huomioinut verkkosivussa ongelmia, mikä viittaa mahdolliseen huijaussivustoon. Asiakas itse kertoo reklamaatiossaan pankille sekä FINEn yhteydenotossaan, että hän huomasi tilanteen olevan erilainen kuin normaalisti, mutta silti jatkoi kirjautumistaan verkkopankkiin. Yhteys ei toiminut ja oli huomattavan hidas, sivut jumittivat, asiakas ei pystynyt valitsemaan muuta kuin tunnuslukusovelluksen, jota hänellä ei ollut itsellään käytössä.

Pankki lähtee toiminnassaan siitä, että asiakkaan tunnukset ovat tämän henkilökohtaisessa käytössä. Maksupalvelulain 53 §:n 1 ja 2 momentin mukaan asiakkaalla on velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä turvatunnuksista siitä lähtien, kun on ne vastaanottanut. Vastaavaa huolellisuutta edellyttävät myös pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot, joiden noudattamiseen asiakas on sitoutunut palvelua käyttöön ottaessaan. Ehtojen mukaan asiakas sitoutuu säilyttämään pankkitunnuksiaan huolellisesti ja olemaan luovuttamatta niitä ulkopuolisten haltuun.

Tunnistussovelluksen aktivointiin tarvitaan käyttäjätunnus, salasana ja tunnuslukulistan koodi sekä tekstiviestitse asiakkaan puhelimeen saapunut aktivointikoodi. Tämän jälkeen tunnistussovellus menee lukittu -tilaan, lukituksen poisto onnistuu verkkopankissa. Huijarin on täytynyt verkkopankkiin kirjautuakseen saada haltuunsa verkkopankin käyttäjätunnus, tunnuslukulistan koodi ja tekstiviestitse toimitettava vahvistuskoodi. Verkkopankissa lukituksen poistoon vaaditaan vielä yksi tunnuslukulistan koodi. Asiakkaan on siis täytynyt luovuttaa kaikki edellä mainitut koodit huijarille/verkkosivustolle, jotta huijari on saanut aktivoitua sovelluksen käyttöönsä.

Asiakkaan vastuulla on lukea jokainen pankilta vastaanotettu tietoturvailmoitus ja reagoida niihin, jos viesti ei vastaa todellista tilannetta. Asiakkaan olisi siis pitänyt tekstiviestien perusteella ymmärtää olla luovuttamatta tekstiviestillä toimitettuja turvalukuja verkkosivuille tai ulkopuolisille ja olla yhteydessä pankkiin.

Asiakas on vastaanottanut tietoturvailmoituksen liittyen tunnistussovelluksen aktivoimiseen, kun hän on kertomansa mukaan yrittänyt kirjautua sovelluksella verkkopankkiinsa. Näin siitä huolimatta, että hänellä ei ole ollut tunnistussovellusta käytössään.

Tämän lisäksi asiakas on saanut tietoturvailmoitukset liittyen tunnistussovelluksen aktivointiin sekä lukituksen poistoon, vaikka asiakas ei itse selkeästi ollut sovellusta aktivoimassa käyttöönsä. Ilman tekstiviestitse lähetettyä tietoturvailmoitusta ja siinä olevaa vahvistuskoodia tunnuslukusovellusta ei pysty aktivoimaan. Koska vahvistuskoodit ovat päätyneet huijareiden haltuun, pankki pitää todennäköisenä, että ne on kiellon vastaisesti asiakkaan toimesta syötetty jollekin verkkosivulle. Asiakkaan olisi tullut reagoida viimeistään tähän sovelluksen lukituksen poistoa koskevaan tietoturvailmoitukseen.

FINEn vakiintuneen ratkaisukäytännön (FINE-75893-L5T1C0, FINE-73775-K9H2Y9) perusteella huolellisesti toimivan maksupalvelunkäyttäjän vastuulla on lukea jokainen pankilta vastaanotettu turvallisuusviesti ja keskeyttää toimenpiteensä, mikäli hän ei tunnista viestin mukaista toimintaa. Asiakkaalle toimitettu tekstiviesti on ollut sisällöltään informatiivinen ja huolelliselle pankkitunnusten käyttäjälle ei pitäisi jäädä epäselväksi, mihin tarkoitukseen koodia käytetään. Tekstiviestillä toimitetussa aktivointikoodissa ilmoitetaan selkeästi mihin koodia käytetään ja varoitetaan huijauksesta ja kielletään syöttämästä aktivointikoodia verkkosivuille. Viestin kiellosta huolimatta asiakas on syöttänyt aktivointikoodin verkkosivuille eikä erikseen sovelluskaupasta ladattavaan sovellukseen. Asiakkaan vastuulla on ymmärtää, mikä on verkkosivuston ja mobiilisovelluksen ero.

Pankki haluaa kiinnittää huomion myös asiakkaan lähettämiin kuvakaappauksiin koskien selaushistoriaa. Ensin toimitetuista kuvista ei käynyt ilmi, miltä päivältä selaushistorian kuvakaappaukset on otettu. Jälkimmäisten kuvienkaan osalta pankki ei voi varmistua siitä, että asiakkaan toimittamat selaushistoriatiedot ovat täydellisiä.

Edellä mainitun perusteella pankki katsoo, että tunnistussovelluksen aktivointi huijarin toimesta on vaatinut asiakkaan osalta törkeää huolimattomuutta. Pankki ei katso olevansa korvausvelvollinen asiakkaan asiassa.

Lisäyskirjeessään asiakas kertoo syöttäneensä koodit verkkosivuille kiellon vastaisesti. Asiakas kertoo, että hänellä ei ole tietoa mikä on verkkosivuston ja mobiilisovelluksen ero. Huolellisesti toimiessaan asiakkaan olisi tullut keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.

Pankin monitorointijärjestelmät ovat tunnistaneet maksutapahtumat ja maksujen lisävahvistusta on edellytetty. Asiakkaan tililtä suoritetuista maksuista on lähtenyt lisävahvistusviestit klo 18.22.27 turvalukukoodeineen asiakkaan numeroon, joka on oletettavasti ollut maksujen suorittamisen aikaan jo huijarin hallussa mahdollisen eSIM-kortin käyttöönoton vuoksi. FINE on myös ratkaisukäytännössään todennut, että valvontamekanismeilla ei ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta (FINE-052407).

Selvitykset

Osapuolten välisen kirjeenvaihdon lisäksi lautakunnalle on toimitettu seuraavat lisäselvitykset:
-  Asiakkaan laitteen sivuhistoriasta asiakkaan ottamat kuvat tapahtumapäivältä.
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot, voimassa 22.2.2022 alkaen.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankkitunnusehtojen pankkitunnusten säilyttämistä koskevan kohdan mukaan

Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset eikä niitä saa luovuttaa sivullisen tietoon. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
Pankkitunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho.
Pankkitunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin.
Yritys- tai yhteisöasiakkaalle luovutetut Pankkitunnukset ovat asiakaskohtaisia.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Pankkitunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa.
Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa. Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma.

Pankkitunnusehtojen katoamisilmoitusta koskevan kohdan mukaan

Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]

Pankkitunnusehtojen asiakkaan vastuu pankkitunnusten käyttämisestä verkkopalveluissa koskevan kohdan mukaan

Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä, jos
1) asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle
2) tunnusten katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu asiakkaan huolimattomuudesta tai
3) asiakas ei ole ilmoittanut ehtojen mukaisesti pankille tunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan ja välittömästi sen jälkeen, kun asiakkaan olisi pitänyt havaita tunnusten oikeudeton käyttö.
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle.
Asiakkaan vastuun määrä kohdissa 2 ja 3 tarkoitetuissa tapauksissa on enintään kulloinkin voimassa olevan maksupalvelulain mukainen rahamäärä, jos tunnuksia on käytetty maksuvälineenä tai kuluttajan-suojalain 7 luvun mukaisena tililuoton käyttöön oikeuttavana tunnisteena.
Asiakas vastaa vahingoista aina täysimääräisesti, jos hän on toiminut tahallisesti tai törkeän huolimattomasti.
Asiakas ei vastaa pankkitunnusten oikeudettomasta käytöstä sen jälkeen, kun pankille on tehty kohdan 3.3 mukainen ilmoitus, paitsi jos asiakas on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Asian arviointi

Tapahtumakulku

Asiakas on kertonut olleensa kirjautumassa uudella laitteella verkkopankkiinsa, mutta verkkosivut olivat jumiutuneet, mistä johtuen hän oli yrittänyt kirjautumista useamman kerran. Asiakkaan mukaan hän on ollut pankin aidoilla verkkosivuilla eikä rikollisten luomilla valesivuilla. Hän on toimittanut näytöksi kuvia käyttämänsä laitteen sivuhistoriasta. Asiakas ei ole kertonut, miten hän on tapahtuma-aikaan hakeutunut verkkopankkiinsa.

Koska Pankkilautakunnan ja FINEn aiemmin käsittelemissä tapauksissa on ollut kyse verkkourkinnasta rikollisten luomien valesivustojen kautta, Pankkilautakunta on pyytänyt asiakasta toimittamaan lisänäyttöä kantansa tueksi, kuten sivuhistorian, joka sisältää kellonaikatiedon taikka poliisin tutkintaraportin rikoksentekotavasta. Asiakas ei ole toimittanut pyydettyä lisänäyttöä. Asiakkaan toimittamasta sivuhistoriasta ei ilmene kellonaika. Koska tässä tapauksessa on riidatonta, että asiakas on kyseisenä päivänä vieraillut myös pankin aidoilla verkkosivuilla, ei asiakkaan toimittama sivuhistoriatieto tuo lisänäyttöä tapahtuneesta.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on päätynyt rikollisten luomille pankin verkkosivuja muistuttavilla valesivuille. Sivuille on mahdollisesti päädytty hakukoneella. Kun asiakas on käyttänyt verkkopankkitunnuksiaan valesivustolla yrittäessään kirjautua sisään verkkopankkiin, pankkitunnustiedot ovat päätyneet rikollisten haltuun. Rikolliset ovat näin saamillaan tiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen käyttöönoton omalla laitteellaan, minkä johdosta pankki on lähettänyt asiakkaalle klo 06.22.14 seuraavanlaisen tekstiviestin:

Tietoturvailmoitus. Olet aktivoimassa [tunnistus] -sovellusta uudessa laitteessa. Aktivointi onnistuu viestin lopussa olevalla koodilla. Koodia käytetään vain [tunnistussovelluksen] aktivointiin. VARO HUIJAUKSIA! Huomaathan että koodia ei tule koskaan syöttää millekään verkkosivulle tai antaa ulkopuoliselle. Jos et ole tekemässä aktivointia itse ota välittömästi yhteyttä [Pankkiin] tai sulkupalveluumme p. XXX XXX. Tarkista viesti-id: FKRFS. Vahvista [tunnistus]-sovelluksen aktivointi koodilla: 518515. [Pankki].

Tunnistussovelluksen käyttöönottoon uudella laitteella on tarvittu asiakkaan verkkopankin käyttäjätunnus, salasana ja tunnuslukulistan koodi sekä tekstiviestitse asiakkaan puhelimeen saapunut aktivointikoodi. Tämän jälkeen tunnistussovellus on ollut lukittu -tilassa, ja lukituksen poisto in tullut tehdä asiakkaan verkkopankissa tunnuslukulistan koodilla. Pankki on lähettänyt klo 06.23.31 asiakkaalle seuraavan tekstiviestin:

 [Tunnistussovellus] on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta [Tunnistussovellus] kohdasta Oma nimi, Muuta [tunnistus]sovelluksen asetuksia. Klikkaa lukittu kohtaan ei ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun XXXXXX.

Pankki on lähettänyt asiakkaalle klo 6.23.48 vielä seuraavan tekstiviestin:

Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 344336.

Rikollinen on ottanut tunnistussovelluksen käyttöön Samsung-merkkiseen puhelimeen 7.7.2025 klo 6.23.12. Sovelluksen lukitus on avattu asiakkaan verkkopankissa klo 06.25.59.  Rikollisen on siten täytynyt saada asiakkaalta verkkopankin käyttäjätunnuksen ja salasanan lisäksi tunnuslukulistan koodi tunnistussovelluksen käyttöönottoon, verkkopankkiin kirjautumiseen ja sovelluksen lukituksen poistoon sekä tekstiviestitse toimitetut vahvistuskoodit tunnistussovelluksen aktivointiin ja verkkopankkiin sisäänkirjautumiseen. Pankkilautakunta katsoo selvitetyksi, että asiakas on syöttänyt em. tiedot valesivuille.

Pankin toimittamien järjestelmämerkintöjen perusteella klo 06.27.08 on aloitettu jälleen uusi kirjautuminen verkkopankkiin tunnuslukulistan koodilla, jonka vahvistuskoodin pankki on lähettänyt asiakkaalleen klo 06.27.29. Lautakunta katsoo selvitetyksi, että valesivut ovat ohjanneet asiakkaan aitoon verkkopankkiin tapahtuneen urkinnan jälkeen, ja asiakas on itse kirjautunut verkkopankkiin ko. vahvistuskoodilla ja asioinut verkkopankissaan onnistuneesti.

Pankkilautakunta katsoo asiassa riidattomaksi, että rikolliset ovat asiakkaan tunnistussovelluksella kirjautuneet myöhemmin samana päivänä operaattorin palveluun ja saaneet haltuunsa myös asiakkaan SIM-kortin. Asiakkaan puhelinliittymä on tämän seurauksena lakannut toimimasta asiakkaan puhelimessa, ja asiakkaan numeroon lähetetyt viestit ovat menneet rikollisille.

Rikolliset ovat tehneet asiakkaan hallussa olleilta tileiltä tilisiirtoja klo 18.18.06-18.2245. Ulkopuoliselle henkilölle on siirretty 91 950 euroa. Maksut on vahvistettu tunnistussovelluksella sekä pankin asiakkaan numeroon lähetyllä lisävahvistuksella. Lisävahvistusta koskeva viesti (klo 18.22.27 ) on mennyt rikollisen laitteeseen, eikä sitä näin ollen oteta huomioon asiakkaan tuottamusarvioinnissa.

Asiakkaan menettelyn arviointi

Asiassa on riidatonta, ettei asiakas ole tietoisesti luovuttanut pankkitunnuksiaan ulkopuolisen haltuun. Asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan eli käyttäjätunnustaan, salasanaansa, useita lukuja tunnuslukulistaltaan sekä pankin asiakkaalle lähettämiä vahvistuskoodeja.

Soveltuvissa pankkitunnusehdoissa ei kielletä hakukoneen käyttämistä verkkopankkiin hakeutumiseen taikka muutoinkaan tarkemmin määritellä, kuinka asiakkaan tulisi toimia pankin verkkopalveluun hakeutuessaan. Lautakunnalle ei ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita, eikä asiassa ole liioin ilmennyt, että pankki olisi varoittanut asiakastaan tämänkaltaisesta verkkohuijauksesta, jossa valesivustolle on päädytty muutoin kuin asiakkaalle lähetetyn linkin kautta. Pankkilautakunta katsoo siten, ettei asiakas ole huolimattomuudestaan laiminlyönyt maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan hakukoneen avulla verkkopankkiin ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Asiakas on kuitenkin kertonut verkkosivujen olleen jumissa, mistä syystä kirjautuminen ei ole tavanomaisella tavalla onnistunut. Asiakas ei ole saanut oletusvalintana olevaa sovelluksella tehtävää kirjautumistapaa muutettua. Lisäksi asiakas on joutunut syöttämään verkkosivuille useita tunnuslukulistan koodeja sekä tekstiviestitse saamiaan vahvistuskoodeja ennen kuin on itse päässyt kirjautumaan sisään verkkopankkiinsa. Rikollinen on saamillaan koodeilla päässyt verkkopankkiin, ottanut käyttöönsä tunnistussovelluksen sekä avannut sen lukitustilasta ennen kuin asiakas on itse päässyt kirjautumaan verkkopankkiinsa.

Pankkilautakunta toteaa olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä, eikä tämän vuoksi kirjautumisen epäonnistuminen kerran anna asiakkaalle erityistä syytä epäillä pankkitunnustensa vaarantuneen asiointinsa yhteydessä. Lautakunta katsoo kuitenkin, että häiriön jatkuessa, ja kirjautumisen epäonnistuessa useamman kerran, huolellisesti toimivan pankkitunnusten haltijan tulisi pysähtyä varmistamaan verkkosivuston asianmukaisuus ja pankkitunnustietojen syöttämisen turvallisuus.  

Pankkilautakunta katsoo, että saatuaan tavanomaisesta verkkopankkiin kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen tietoturvailmoituksen pankiltaan asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankki on lähettänyt asiakkaalle tämän jälkeen vielä aktivoitua tunnistussovellusta ja sen lukituksen poistoa koskeneen yksityiskohtaisen viestin. Asiakas on kertonut lukeneensa em. viestit ja tunnistaneensa niiden mukaisen toiminnan. Asiakas ei ole kertomansa mukaan ymmärtänyt verkkosivuston ja mobiilisovelluksen eroa ja on tästä syystä syöttänyt koodin verkkosivuille luullen aktivoivansa tunnistussovellusta tablettiinsa, jota on käyttänyt kirjautumiseen ensimmäistä kertaa. Asiakas on kuvitellut aktivoinnin onnistuneen jälkimmäisen viestin saatuaan.  Asiakas ei ole kuitenkaan annetun selvityksen perustella ladannut sovelluskaupastaan pankin tunnistussovellusta laitteelleen, eikä hänellä ole ollut sitä entuudestaan.

Asiakkaan vetoaman osalta Pankkilautakunta toteaa verkkosivujen olevan tavanomainen ja yleiskielinen ilmaus. Pankkilautakunta katsoo muutoinkin pankin asiakkaalle lähettämän tunnistussovelluksen aktivointia koskeneen viestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta aktivointikoodia käytetään. Viestissä on myös varoitettu isoilla huomiota herättävillä kirjaimilla huijauksista sekä kerrottu, ettei koodia tule koskaan syöttää verkkosivuille. Lautakunta katsoo, että viestin huolellisen lukemisen jälkeen asiakkaalle ei olisi pitänyt jäädä epäselväksi viestissä ollut nimenomainen kielto syöttää koodia verkkosivuille. Asiakkaan jätettyä tällä tavoin tarkoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.

Lisäksi lautakunnalle jää pankin lähettämän sovelluksen lukituksen poistoa koskevan viestin ja asiakkaan kertoman perusteella epäselväksi, minkä asiakas tarkalleen ottaen luuli jättävänsä lukitustilaan ottaen huomioon, ettei asiakas ollut tapahtuma-ajankohtana tosiasiassa ladannut sovelluskaupastaan mitään sovellusta laitteellensa.

Lautakunta ottaa arvioinnissaan kuitenkin huomioon sen, että asiakas on tapahtumien sattuessa käyttänyt kirjautumiseen riidattomasti uutta laitetta ja hän on kirjautunut verkkopankkiinsa aiemmin ainoastaan paperista tunnuslukutaulukkoa käyttäen, minkä vuoksi tunnistussovelluksen käyttötapa ei ole ollut hänelle entuudestaan tuttu. Lautakunta ei voi tässä tapauksessa sulkea pois sitä mahdollisuutta, että asiakas on lukenut pankilta saamansa viestit, mutta on kertomansa mukaisesti erehtynyt luulemaan viestien mukaista toimintaa omakseen em. olosuhteiden vuoksi. Ottaen lisäksi huomioon sen, että asiakkaan asiointi on jatkunut onnistuneesti pankin oikeassa verkkopankissa ja hän on mm. maksanut siellä laskunsa, lautakunta katsoo edellä todetusta huolimatta, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.

Asian päättyessä asiakkaan hyväksi, lautakunnalla ei ole syytä käsitellä enemmälti asiakkaan vetoamaa seikkaa pankin velvollisuudesta havaita epäilyttävät tapahtumat.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Atrila
Piilo
Punakivi
Makkonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä